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Vragen van de leden Schut-Welkzijn en Van Wijngaarden (beiden VVD) aan 
de Staatssecretarissen van Sociale Zaken en Werkgelegenheid en van 
Veiligheid en Justitie over SUWINET (ingezonden 24 juni 2015). 

Antwoord van Staatssecretaris Van Rijn (Volksgezondheid, Welzijn en Sport) 
(ontvangen 2 oktober 2015). 

Vraag 1 

Heeft u kennisgenomen van de uitzending van Argos van 20 juni jl.? 

Antwoord 1 
Ja. 

Vraag 2 

Deelt u de analyse dat SUWINET gevoelige persoonsgegevens bevat? Zo ja, 
vindt u dat de bescherming van en omgang met thans op een adequaat 
niveau is geborgd? 

Antwoord 2 

Ik deel de analyse dat ook gevoelige persoonsgegevens via SUWInet worden 
ontsloten. De gemeenschappelijke elektronische voorziening SUWI (ook wel 
SUWInet genoemd) is een elektronische infrastructuur die is ontwikkeld om 
ervoor te zorgen dat de SUWI-partijen (UWV, SVB en gemeentelijke sociale 
diensten) gegevens met elkaar kunnen uitwisselen voor de uitoefening van 
hun wettelijke taak (WW, Participatiewet, IOAW, IOAZ e.a.). Er worden alleen 
gegevens uitgewisseld voor zover daar een wettelijke grondslag voor is. 

In de Privacy Impact Asssesment (PIA) die ik heb laten uitvoeren en waar ik 
uw Kamer per brief op 5 februari jl. over heb geïnformeerd is geconstateerd 
dat er in de afgelopen jaren een aantal samenhangende kwetsbaarheden is 
ontstaan die elkaar op een negatieve manier beïnvloeden en daarmee tot 
privacyrisico's leiden. In de brief van 5 februari jl. (Kamerstuk 26 448, nr. 530) 
heb ik de actielijnen geschetst waarlangs verbetermaatregelen worden 
genomen. 

Vraag 3 

Welke mate van bescherming van en zorgvuldige omgang met de persoons¬ 
gegevens binnen SUWI-net ambieert u? Welke sanctie staat er op ernstig 
verwijtbare nalatigheid in de omgang met deze gegevens? 
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Antwoord 3 

Persoonsgegevens van burgers dienen te allen tijde beschermd te zijn met 
passende organisatorische en technische maatregelen. Bij het SUWInet 
dienen de maatregelen te worden getroffen in de keten die loopt van het 
aanleveren van gegevens door bronleveranciers, het transporteren van 
gegevens naar afnemers tot en met het gebruik van de gegevens door 
afnemers. Op SUWInet aangesloten organisaties dienen de beveiliging van 
het gebruik van SUWInet op orde te hebben. Het escalatieprotocol, dat ik u 
dit najaar toestuur, omvat een aantal stappen met als ultimum remedium het 
afsluiten van een organisatie van het SUWInet. 

Iedere op SUWInet aangesloten organisatie dient beleid te voeren betreffende 
misbruik van gegevens door medewerkers. Bij misbruik door medewerkers is 
de uiterste sanctie hierbij ontslag. Er zijn mij gevallen bekend van gemeenten, 
SVB en UWV waar medewerkers zijn ontslagen omdat zij zonder noodzaak 
via SUWInet gegevens raadpleegden. 

Vraag 4 

Deelt u de analyse dat het onrechtmatig raadplegen van deze gegevens niet 
alleen in strijd is met de wet maar ook met de openbare orde en zodoende 
ook een aandachtspunt moet zijn van de burgemeesters gelet op de 
gegevens van kwetsbare personen? Zo ja, bent u bereid de burgemeesters 
een briefte sturen om hen te wijzen op deze verantwoordelijkheid? 

Antwoord 4 

Ik deel uw analyse dat het onrechtmatig raadplegen van deze gegevens in 
strijd is met de wet. Uw analyse dat het in strijd is met de openbare orde 
deel ik niet. Hier is geen sprake van onrust of ongeregeldheden op het terrein 
van de openbare orde. Naar aanleiding van het onderzoek van de Inspectie 
SZW in 2013 heb ik alle colleges van burgemeester en wethouders een brief 
gestuurd en hen gewezen op het feit dat zij de beveiliging van SUWInet op 
orde moeten brengen. Na de gemeenteraadsverkiezingen heb ik de nieuwe 
colleges eenzelfde brief gestuurd en hen op hun verantwoordelijkheid 
gewezen. 

In september 2015 start de Inspectie SZW het onderzoek naar de beveiliging 
van SUWInet bij alle gemeenten. In de brief met de aankondiging van dit 
onderzoek wordt nogmaals aandacht gevraagd voor de bescherming van 
gegevens van personen, waarbij specifiek aandacht wordt gevraagd voor de 
bescherming van gegevens van kwetsbare personen. 

Vraag 5 

Op welke wijze zijn Colleges van B&W verplicht om aan gemeenteraden 
systematisch te rapporteren over privacybescherming en incidenten in hun 
gemeente? 

Antwoord 5 

Ingevolge artikel 5.22 van het besluit SUWI zijn gemeenten verplicht om 
verantwoording af te leggen over de beveiliging van SUWInet. De verant¬ 
woording moet zijn voorzien van een oordeel van een EDP-auditor en dient 
eens per jaar voor 15 maart opgesteld te worden. In de verantwoordingsricht- 
lijn SUWI is opgenomen waarover gerapporteerd dient te worden. Dit betreft 
onder meer het informatiebeveiligingsbeleid, de evaluatie daarvan en de 
taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, 
de inrichting, het beheer en de beveiliging van SUWInet gegevens. 

Vraag 6 

Kan de Tweede Kamer per kwartaal worden geïnformeerd over de voortgang 
van het onderzoek dat het College Bescherming Persoonsgegevens (CBP) is 
gestart naar de gang van zaken bij het Bureau Keteninformatisering Werk & 
Inkomen (BKWI) en SUWINET alsmede over het verbetertraject dat door het 
BKWI zal moeten worden ingezet? 

Antwoord 6 

Op 5 juni jl. heeft het CBP aangekondigd onderzoek te gaan doen naar de 
beveiliging van SUWInet bij gemeenten. Het CPB zal uw Kamer informeren 
over de voortgang van het onderzoek. In mijn brief van 30 juni jl. heb ik 
opgemerkt dat ik de Tweede Kamer aanstaande oktober zal informeren over 
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de voortgang van het programma «Borging veilige gegevensuitwisseling via 
SUWInet». Hierbij zal ik ook ingaan op het verbetertraject dat door BKWI is 
ingezet naar aanleiding van het eerdere onderzoek van het CBP naar de 
toegang van niet-SUWI-partijen tot SUWInet. 

Vraag 7 

In welke mate vindt er periodiek overleg plaats tussen u en de ambtelijke top 
van het BKWI? 

Antwoord 7 

Ik heb naar aanleiding van het onderzoek van Inspectie SZW een zogenaamde 
tafel informatiebeveiliging georganiseerd met bestuurders van UWV, SVB, 
VNG en CBP. Het BKWI is een organisatieonderdeel van UWV. Met het UWV 
voer ik periodiek overleg over BKWI. 

Vraag 8 

Waar kan iemand met een burgerservicenummer (BSN) terecht als hij of zij 
veiligheidsredenen heeft om op de zogenaamde blacklist van het SUWINET te 
komen waardoor zijn of haar gegevens minder makkelijk opvraagbaar zijn? 
Hoe wordt hieraan voldoende bekendheid gegeven? 

Antwoord 8 

Burgers kunnen via de gemeente bij BKWI een verzoek indienen voor 
geheimhouding van hun persoonlijke gegevens (o.a. adresgegevens). 
Gemeenten kunnen dan via de beheerder (BKWI) van SUWInet het BSN op 
een Blacklist laten plaatsen. Opvragingen van deze BSN worden dan binnen 
SUWInet geblokkeerd en medewerkers van gemeenten, UWV en SVB krijgen 
geen gegevens te zien van deze BSN. Naar aanleiding van de motie Van 
Weyenberg / Voortman om te onderzoeken welke mogelijke andere bronnen 
er zijn waaruit iemands adres kan worden opgemaakt, in bijzonder de 
polisadministratie van UWV, en met een integrale oplossing te komen, zal ik 
bezien hoe meer bekendheid aan burgers kan worden gegeven over de 
mogelijkheid gegevens binnen de (digitale) overheid geheim te houden. In 
een recent overleg met de Federatie Opvang, de VNG en het UWV is 
afgesproken om voor vrouwen die bedreigt worden een correspondentie¬ 
adres op te nemen. UWV, VNG en de Federatie Opvang werken deze afspraak 
momenteel verder uit. Zodra dit gereed is, zal ik uw Kamer hierover 
informeren. 

Vraag 9 

Waar kan iemand met een BSN terecht als hij of zij wil opvragen hoe vaak en 
met welk doel zijn gegevens door de overheid zijn geraadpleegd? 

Antwoord 9 

Iemand die wil weten wanneer en door wie zijn gegevens zijn geraadpleegd 
kan hiertoe een schriftelijk verzoek doen bij de beheerder van SUWInet, het 
BKWI. Dit verzoek moet voorzien zijn van naam, BSN, contactgegevens en 
een handtekening. Tevens dient een kopie van een geldig identiteitsbewijs, 
waarmee BSN en handtekening kunnen worden geverifieerd, meegestuurd te 
worden. 

Vraag 10 

Sluit u uit dat incassobureaus of andere derden tot op heden en vanaf nu niet 
direct of indirect gericht naar personen in SUWINET kunnen zoeken? Zo nee, 
kunt u de Kamer hier dan alsnog nader over informeren? 

Antwoord 10 

Ik beschik niet over informatie in welke mate gemeenten incassobureaus of 
andere derden toegang geven tot SUWInet. De uitvoeringspraktijk zoals aan 
de orde gekomen in de uitzending van ARGOS wijs ik af. Op grond van de 
Wet bescherming persoonsgegevens is het toegestaan om een derde partij 
gegevens te laten verwerken, waarbij het college van B&W verantwoordelijke 
blijft. Hiervoor dient een bewerkersovereenkomst te worden gesloten. In het 
geval een gemeente een incassobureau inschakelt, mogen alleen die 
gegevens worden verstrekt aan het incassobureau die nodig zijn voor het 
incassobureau om de vorderingen te kunnen innen. Het is dus niet toege- 
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staan dat incassobureaus toegang krijgen tot meer gegevens dan noodza¬ 
kelijk voor de uitoefening van hun taak. Op grond hiervan is rechtstreeks 
toegang tot SUWInet niet toegestaan. 

De VNG heeft in juli 2015 in de notitie «uitbesteden en toegang tot SUWInet» 
aangegeven dat het autoriseren van medewerkers die onder het gezag staan 
van een partij waaraan is uitbesteed, zich niet verhoudt tot de Wet bescher¬ 
ming persoonsgegevens. De autorisaties aan deze medewerkers dienen te 
worden ingetrokken. In de brief die ik naar alle gemeenten zal versturen met 
daarin het escalatieprotocol, alsmede in de eerstvolgende verzamelbrief, zal ik 
gemeenten wijzen op het gebruik van de bewerkingsovereenkomst bij het 
verwerken van gegevens en het feit dat rechtstreeks toegang tot SUWInet 
voor incassobureaus niet is toegestaan. 
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